Bitcoin is niet lek, maar quantumplanning wordt urgenter

Bitcoin is vandaag niet acuut kwetsbaar voor quantumcomputers, maar de waarschuwing wordt serieuzer. Google schat de benodigde quantumresources voor het breken van 256-bit elliptische-curvecryptografie fors lager in dan eerder gedacht, terwijl Bitcoin-ontwikkelaars al werken aan mogelijke post-quantumroutes.

Dat betekent geen paniek voor beleggers. Het betekent wel dat Bitcoin de overstap naar quantumweerbare beveiliging eerder en concreter moet plannen dan de markt lang aannam.

De discussie laaide eind maart opnieuw op door onderzoek van Google Quantum AI. Google stelt dat een toekomstige cryptografisch relevante quantumcomputer het 256-bit elliptic curve discrete logarithm problem onder standaardaannames mogelijk kan aanvallen met minder dan 500.000 fysieke qubits. Dat is volgens Google ongeveer een twintigvoudige verlaging ten opzichte van eerdere resource-inschattingen.

Dat is geen bewijs dat zo’n machine al bestaat. De huidige quantumhardware is nog niet in staat om Bitcoin of Ethereum op die manier te breken. Maar de rekensom verandert wel het risicobeeld.

Het punt is niet dat “Q-Day” morgen komt. Het punt is dat migratieplanning niet kan wachten tot een cryptografisch relevante quantumcomputer publiek wordt aangekondigd. Tegen die tijd is een ordelijke overgang waarschijnlijk te laat.

Voor Bitcoin zit de belangrijkste quantumdreiging niet overal in het protocol even hard. Bitcoin Optech beschrijft vooral ECDSA-public keys als kwetsbaar voor Shor’s algoritme. Omdat Schnorr-public keys cryptografisch vergelijkbaar zijn, geldt dezelfde zorg voor Schnorr-signatures.

Dat raakt de laag waarmee eigenaarschap over coins wordt bewezen. Een aanvaller met een voldoende krachtige quantumcomputer zou in theorie een private key kunnen afleiden uit een zichtbare public key en daarna zelf een geldige transactie kunnen ondertekenen.

Hashfuncties zoals SHA-256 zijn een ander verhaal. Quantumalgoritmen kunnen de veiligheidsmarge van hashfuncties verlagen, maar breken ze niet op dezelfde directe manier als public-keycryptografie. Daarom is de primaire zorg voor Bitcoin niet dat mining morgen instort, maar dat signatures en public-key-exposure op termijn kwetsbaar worden.

Het risico is ook niet gelijk verdeeld over alle coins. Coins waarvan de public key al zichtbaar is of lang zichtbaar blijft, zijn gevoeliger in een toekomst waarin quantumaanvallen praktisch worden.

Dat raakt onder meer oude outputtypes, adreshergebruik en bepaalde Taproot-situaties waarbij een key path spend een public key blootstelt. Nieuweer gebruik waarbij public keys pas bij spending zichtbaar worden, geeft minder tijd voor een aanvaller, maar is geen permanente oplossing als quantumhardware snel genoeg wordt.

Daarom gaat het debat steeds meer over migratie. Hoe krijg je gebruikers, exchanges, custodians en wallets op tijd naar outputtypes en signatures die beter bestand zijn tegen quantumaanvallen?

Bitcoin staat niet stil. BIP-360 stelt Pay-to-Merkle-Root voor, een nieuw outputtype via een soft fork. P2MR lijkt op Pay-to-Taproot, maar verwijdert de key path spend. Daarmee blijft script-tree-functionaliteit mogelijk, terwijl een quantum-kwetsbare bestedingsroute wordt weggehaald.

Dat maakt BIP-360 geen volledige post-quantumoplossing. Het is eerder een eerste bouwsteen om public-key-exposure te beperken en Bitcoin beter voor te bereiden op latere migratie.

Juist dat is belangrijk. Bitcoin zal waarschijnlijk niet in één sprong van huidige signatures naar een volledig quantumveilig model gaan. De overgang zal bestaan uit voorstellen, soft forks, walletondersteuning, nieuwe adresformaten, exchange-integraties en uiteindelijk gebruikersmigratie.

Dat proces kost jaren.

De bredere cryptografische context is veranderd sinds NIST in augustus 2024 de eerste drie definitieve post-quantumstandaarden publiceerde. Daarmee kreeg de industrie concrete standaarden voor key establishment en digitale signatures, waaronder ML-KEM, ML-DSA en SLH-DSA.

Voor Bitcoin is dat nuttig, maar niet genoeg. Post-quantumsignatures bestaan, maar ze zijn vaak groter, zwaarder of operationeel complexer dan ECDSA en Schnorr.

Dat raakt Bitcoin direct. Grotere signatures betekenen meer data, hogere kosten, meer opslagdruk en andere trade-offs rond verificatie. Een te vroege keuze kan het netwerk onnodig belasten. Een te late keuze kan migratie chaotisch maken.

Daarom is de vraag niet alleen welke cryptografie quantumveilig is, maar welke cryptografie bij Bitcoin’s conservatieve ontwerp en decentrale governance past.

Ethereum laat zien hoe een ander netwerk het onderwerp aanpakt. Ethereum.org stelt expliciet dat geen enkele huidige quantumcomputer Ethereum-cryptografie kan breken en dat gebruikers voorlopig niets hoeven te doen. Tegelijk werkt het netwerk publiek aan post-quantumvoorbereiding.

Dat is de juiste toon: geen hysterie, wel planning.

Bij Bitcoin is die planning lastiger. Financial Times meldde dat juist gedecentraliseerde systemen zoals Bitcoin veel coördinatie en investering nodig hebben, omdat er geen centrale partij is die een migratie kan afdwingen.

Dat is Bitcoin’s kracht en zwakte tegelijk. Decentralisatie beschermt het netwerk tegen centrale beslissingen, maar maakt grote cryptografische migraties traag. Er is geen CEO, geen stichting en geen bestuursraad die een deadline kan opleggen.

Consensus moet ontstaan. En consensus kost tijd.

Voor gewone beleggers is de conclusie nuchter. Bitcoin hoeft niet morgen zijn beveiliging om te gooien, en gebruikers hoeven hun wallets niet halsoverkop leeg te trekken.

Wel is goede wallet-hygiëne verstandig. Hergebruik geen Bitcoin-adressen, deel xpubs en walletdescriptors niet onnodig, houd walletsoftware en hardware-walletfirmware up-to-date en volg officiële communicatie van walletontwikkelaars.

De grootste korte-termijnrisico’s blijven waarschijnlijk phishing, malware, slechte backups, dubieuze “quantum-proof” claims en paniekmigraties naar onbetrouwbare tools.

Quantum is een langetermijnrisico. Slechte beveiligingsgewoonten zijn vandaag al een probleem.

De ongemakkelijke conclusie is dat beide kampen deels gelijk hebben. Paniekverkopers overdrijven het directe gevaar. Maar mensen die quantum nog altijd wegzetten als sciencefiction onderschatten de voorbereidingstijd.

Google’s nieuwe inschatting maakt de marge kleiner. NIST heeft standaarden gepubliceerd. Ethereum werkt publiek aan migratie. Bitcoin heeft met BIP-360 en andere discussies de eerste ontwerproutes op tafel.

Dat betekent niet dat Bitcoin morgen moet forken. Het betekent wel dat het netwerk een serieus post-quantumplan nodig heeft voordat de dreiging praktisch wordt.

Bitcoin’s belofte van digitale schaarste hangt niet alleen af van het verleden van zijn cryptografie, maar ook van het vermogen om op tijd te migreren zonder zijn eigen sociale consensus te breken. Geen hysterie dus. Wel tempo.